Triển khai mô hình bảo mật thông tin Dynamic Access Control (DAC)


Triển khai Mô hình Dynamic Access Control (DAC)

1.      Giới thiệu:

Hỗ trợ hoạt động hệ thống file server :

-        Phân quyền truy cập trên các Folder/File với những điều kiện dựa vào User Claim, Device Claim hay Resoure Claim cho phép điều khiển quyền hạn truy cập chi tiết hơn nhiều so với cách phân quyền NTFS truyền thống.

-        Giám sát, theo dõi việc truy cập dữ liệu một cách tập trung.

-        Hỗ trợ File Server Resource Manager phân loại dữ liệu và điều khiển việc truy cập dựa vào dữ liệu đã phân loại một cách hiệu quả.

-        Tích hợp Rights Management Service để tự động hóa việc bảo vệ các dữ liệu nhạy cảm trong doanh nghiệp


2.      Thực hiện:

Bước 1: Chuẩn bị AD DS cho DAC, và xem xét các Claim mặc định.

1. Trên máy LON-DC1, Trong cửa sổ Server Manager, bung menu Tools, mở Active

Directory Users and Computers, chuột phải Adatum.com, chọn New, chọn

Organizational Unit.

2. Hộp thoại New Object – Organizational Unit, trong ô Name, nhập Test, và chọn OK.

3. Trong cửa sổ Active Directory Users and Computers, bung Adatum.com, chọn

Computers, giữ phím Ctrl, chọn LON-SVR1 và LON-CL1, chuột phải LON-SVR1 và LONCL1, chọn Move.

4. Hộp thoại Move, chọn OU Test, và chọn OK.

5. Tắt cửa sổ Active Directory Users and Computers.

6. Trong Server Manager, bung menu Tools, mở Group Policy Management, bung

Forest: Adatum.com, bung Domains, bung Adatum.com, chọn Group Policy Objects,chuột phải Default Domain Controllers Policy, chọn Edit

7. Cửa sổ Group Policy Management Editor, bung Computer Configuration, bung

Policies, bung Administrative Templates, bung System, chọn KDC, nhấp đôi chuột mở policy  KDC support for claims, compound authentication and Kerberos armoring

8. Cửa sổ KDC support for claims, compound authentication and Kerberos armoring, chọn Enabled, bung ô Options, chọn Supported, và chọn OK

9. Tắt cửa sổ Group Policy Management Editor và Group Policy Management Console.

10. Mở Windows PowerShell, gõ lệnh: gpupdate /force

11. Tắt Windows PowerShell

12. Trong Server Manager, bung menu Tools, mở Active Directory Users and

Computers, chuột phải Users, chọn New, và chọn Group

13. Trong ô Group name, nhập ManagersWKS, chọn OK.

14. Chọn OU Test, chuột phải LON-CL1, chọn Properties

15. Hộp thoại LON-CL1 Properties, qua tab Member Of, chọn Add.

16. Hộp thoại Select Groups, nhập ManagersWKS, chọn Check Names, và chọn OK 2 lần

17. Chọn OU Managers, chuột phải Aidan Delaney, chọn Properties.

18. Hộp thoại Aidan Delaney Properties, qua tab Organization, đảm bảo trong ô

Department nhập Managers, và chọn OK.

19. Vào OU Research, chuột phải Allie Bellew, chọn Properties.

20. Hộp thoại Allie Bellew Properties, qua tab Organization, đảm bảo trong ô

Department nhập Research, và chọn OK.

21. Trong Server Manager, bung menu Tools, mở Active Directory Administrative

Center, chọn Dynamic Access Control, nhấp đôi chuột Claim Types.645

22. Kiểm tra chỉ có 1 claims mặc định tên AuthenticationSilo.

23. Chọn Dynamic Access Control, nhấp đôi chuột Resource Properties.

24. Kiểm tra tất cả Resource Properties đang ở trạng thái Disabled.

25. Chọn Dynamic Access Control, nhấp đôi chuột Resource Property Lists.

26. Chuột phải Global Resource Property List, chọn Properties.

27. Cửa sổ Global Resource Property List, trong phần Resource Properties, kiểm tra các Resource Properties đang có, và chọn Cancel.

 

Bước 2: Cấu hình Claims cho người dùng và thiết bị

1. Trên máy LON-DC1, trong cửa sổ Active Directory Administrative Center, chọn

Dynamic Access Control, nhấp đôi chuột Claim Types


  2.Chọn New, và chọn Claim Type


 

  3.Cửa sổ Create Claim Type, trong phần Source Attribute, chọn department. Trong ô Display name,

  nhập Company Department. Đánh dấu chọn 2 ô User và Computer, chọn OK.

 

 

4.Trong cửa sổ Active Directory Administrative Center, chọn New, và chọn Claim Type

 

5.Cửa sổ Create Claim Type, trong phần Source Attribute, chọn description, bỏ dấu chọn ô User, đánh dấu chọn ô Computer, và chọn OK

 

Bước 3: Cấu hình Resource Properties cho các files.

 

1. Trên máy LON-DC1, trong cửa sổ Active Directory Administrative Center, chọn

Dynamic Access Control, nhấp đôi chuột Resource Properties.

 

2. Trong danh sách Resource Properties, chuột phải Department, chọn Enable.

3. Chuột phải Confidentiality, chọn Enable

4. Nhấp đôi chuột Department.

5. Cửa sổ Department , trong phần Suggested Values, chọn Add.

6. Hộp thoại Add a suggested value, nhập Research vào ô Value và ô Display name, chọn OK 2 lần.

7. Trong cửa sổ Active Directory Administrative Center, chọn Dynamic Access Control, nhấp đôi chuột Resource Property Lists

8. Nhấp đôi chuột Global Resource Property List

9. Trong cửa sổ Global Resource Property List, trong danh sách Resource Properties

đảm bảo có Department và Confidentiality, chọn Cancel

 

 

Bước 4: Phân loại file và folder

1. Qua máy LON-SVR1. Trong Server Manager, chọn Add roles and features.

2. Cửa sổ Before you begin, chọn Next 3 lần.

3. Cửa sổ Select server roles, bung File and Storage Services (Installed), bung File andiSCSI Services, đánh dấu chọn File Server Resource Manager, chọn Add Features, và chọn Next 2 lần.

4. Cửa sổ Confirm installation selections, chọn Install. Sau khi cài đặt thành công, chọn Close.

5. Mở File Explorer, vào ổ C:, tạo một thư mục mới, đặt tên Docs. Trong thư mục Docs, tạo 2 file text Doc1.txt và Doc2.txt có nội dung " This is a secret document."

6. Trong thư mục Docs, tạo file text Doc3.txt có nội dung " This is a document."

7. Trong File Explorer, chuột phải Docs, chọn Share with, chọn Specific people

8. Hộp thoại File Sharing, nhập Authenticated Users, và chọn Add

9. Chọn Authenticated Users, bung Permission Level, chọn Read/Write, chọn Share, và chọn Done.

10. Trong Server Manager, bung menu Tools, mở File Server Resource Manager, bung Classification Management, chuột phải Classification Properties, chọn Refresh.

11. Kiểm tra Confidentiality và Department đã được hiển thị.

12. Chọn Classification Rules, trong cửa sổ Actions, chọn Create Classification Rule

13. Hộp thoại Create Classification Rule, trong ô Rule name, nhập Set Confidentiality

14. Qua tab Scope, chọn Add.

15. Hộp thoại Browse For Folder, bung Local Disk (C:), chọn thư mục Docs, và chọn OK.

16. Qua tab Classification, kiểm tra các thiết lập như trong hình bên dưới, và chọn

Configure.

17. Hộp thoại Classification Parameters, bung ô Expression Type, chọn String, trong ô Expression, nhập secret, và chọn OK.

18. Qua tab Evaluation Type, đánh dấu chọn Re-evaluate existing property values, chọn Overwrite the existing value, và chọn OK.

19. Trong cửa sổ File Server Resource Manager, chọn Run Classification with all rules now.

20. Hộp thoại Run Classification, chọn Wait for classification to complete, và chọn OK

21. Trong cửa sổ report, kiểm tra 2 file Doc1.txt và Doc2.txt được thiết lập

"Confidentiality" . Tắt cửa sổ report.

22. Mở File Explorer, vào thư mục C:\Docs, chuột phải Doc1.txt, chọn Properties

23. Hộp thoại Doc1.txt Properties, qua tab Classification, kiểm tra Confidentiality là High.

24. Lặp lại bước 22 và 23 trên file Doc2 and Doc3.

Chú ý: Trên file Doc1.txt và Doc2.txt thiết lập Confidentiality là High, file Doc3.txt

không thiết lập confidentiality. Bởi vì trong nội dung của file Doc3.txt không có chữ secret.

25. Trong cửa sổ File Explorer, vào ổ đĩa C:\, tạo một thư mục mới, đăt tên Research.

Trong thư mục Research, tạo file text tên Research1.txt có nội dung là "This is a research document"

26. Chuột phải thư mục Research, chọn Share with, chọn Specific people.

27. Hộp thoại File Sharing, nhập Authenticated Users, và chọn Add

28. Chọn Authenticated Users, bung ô Permission Level, chọn Read/Write, chọn Share và chọn Done

29. Trong cửa sổ File Explorer, chuột phải thư mục Research, chọn Properties

30. Hộp thoại Research Properties, qua tab Classification, chọn Department, trong phần Value, chọn Research, chọn Apply, và chọn OK

 

2.Triển khai DAC

Bước 1: Cấu hình Central Access Policy Rules.

  

 

Bước 2: Tạo và công bố Central Access Policy.

Bước 3: Áp dụng Central Access Policy.

1. Qua máy LON-SVR1.

2. Mở Windows PowerShell, gõ lệnh: gpupdate /force

3. Mở File Explorer, vào ổ C:\, chuột phải thư mục Docs, chọn Properties

 

Cửa sổ Advanced Security Settings for Research, qua tab Central Policy, chọn

Change. Bung ô Central Policy, chọn Department Match, chọn OK 2 lần.

 

3.      Cấu hình Access-Denied Assistance và kiểm tra DAC.

Bước 1: Cấu hình Access-Denied Assistance

Bước 2: Kiểm tra chức năng DAC

1. Restart máy LON-CL1.

2. Sign in vào LON-CL1 bằng Adatum\April với password Pa$$w0rd.

3. Mở File Explorer, truy cập\\LON-SVR1\Docs. Kiểm tra chỉ có quyền truy cập file Doc3.

4.Trong File Explorer, truy cập \\LON-SVR1\Research. Kiểm tra truy cập thất bại. Chọn Request Assistance. Xem xét các lựa chọn, và chọn Close.

 

Kiểm tra user April không có quyền truy cập folder. Chọn Include a user claim

 

Bung ô chọn, chọn Company Department, trong ô Value, nhập Research, chọn

View Effective access. Kiểm tra user April có quyền truy cập folder

 

 

 

Tin bài : Võ Duy Quí